瀏覽器的地址欄���,是通往神秘賽博世界的一道門���。
打開門,也許是你早已心儀已久的一家購物網(wǎng)站����,也可能是一些你無法預(yù)料的場景:
或是閃著紅色小燈的發(fā)廊線上版
或是各色骰子在飛舞旋轉(zhuǎn)��,向你招手
或是一個(gè)簡單的拒絕:404
你恍若闖入了一個(gè)神奇的大不雅觀園�����,不知道接下來的是一個(gè)人,還是一條狗��,或者兩者都是�。
這絕不是一次你想要的驚險(xiǎn)刺激的冒險(xiǎn),你以為這是小伴侶突然翻了一次墻么�����?
賽博世界��,我想要知道我在哪�����,我去哪�����。
騰訊玄武實(shí)驗(yàn)室技術(shù)專家徐少培說,在現(xiàn)代瀏覽器中�,地址欄是唯一可靠的指示器。
如果地址欄上出現(xiàn)了問題�����,后續(xù)所見到的Web頁面����,可信任的體系將全部崩塌。
雷鋒網(wǎng)(公眾號(hào):雷鋒網(wǎng))決定��,先上個(gè)數(shù)據(jù)震撼一下你�����。
上周��,Chrome發(fā)布了最新的版本����,在安適漏洞傍邊,其中有16個(gè)漏洞由外部人員提交�。在這16個(gè)漏洞傍邊,中高危漏洞占了12個(gè)��,獲得了谷歌的漏洞獎(jiǎng)勵(lì)。在這12個(gè)漏洞傍邊���,有3個(gè)漏洞是地址欄上的漏洞���,也就是說,Chrome瀏覽器作為目前業(yè)界公認(rèn)的最安適的瀏覽器�����,其中地址欄上的安適漏洞占比四分之一���。
如何幫手人們?cè)谏暇W(wǎng)的時(shí)候做出安適決策?瀏覽器廠商絞盡腦汁����。
于是,他們想出了一個(gè)措施�。
第一個(gè)指示燈:安適指示符
很久以前,瀏覽器廠商搞出了一個(gè)安適指示符��,就像是一枚路標(biāo)�,告訴你前方是一片坦途還是沼澤叢林。
安適指示符琳瑯滿目����。你可能在地址欄看到的是一把綠色的小鎖����,也可能是把灰色的大鎖�����,或是一個(gè)“地球”�����。
HTTP 和 HTTPS 又差別��,一邊是白色符號(hào)��,而別的一邊可能是綠色符號(hào)��。
差別的符號(hào)究竟代表什么�����?這些符號(hào)背后有何深意?你有沒有思考過這個(gè)問題�?
不要悲痛,2015年�,谷歌曾就此采訪過1329人,尷尬的是�����,大部分人對(duì)于HTTPS 這個(gè)指示符略有了解���,看到有一個(gè)鎖�����,就知道可能是加密或者是安適的問題。對(duì)于HTTP這個(gè)標(biāo)識(shí)符����,包孕一些專家可能都不太明白是什么意思。
看到這里你應(yīng)該高興�,看,你又比專家多懂了一點(diǎn)點(diǎn)���。
當(dāng)你點(diǎn)開這些各種各樣的小符號(hào)�����,其實(shí)又打開了一片新天地:
內(nèi)有更多對(duì)當(dāng)前頁面權(quán)限的設(shè)置�����,包孕本身的設(shè)置���,以及這個(gè)網(wǎng)站是否安適等選項(xiàng)�����。
第二個(gè)指示燈:URL
在地址欄掛上安適指示符是安適手段之一��,它是一枚路標(biāo)�,而統(tǒng)一資源定位符(URL)才是地址欄的真正主角�����,告訴你�����,你在哪����,要去哪�����,相當(dāng)于一張有定位的地圖����。
基本URL包羅模式(或稱協(xié)議)��、辦事器名稱(或IP地址)�����、路徑和文件名�,如“協(xié)議://授權(quán)/路徑?查詢”。完整的��、帶有授權(quán)部分的普通統(tǒng)一資源標(biāo)識(shí)表記標(biāo)幟符語法如下:協(xié)議://用戶名:密碼@子域名.域名.頂級(jí)域名:端標(biāo)語/目錄/文件名.文件后綴?參數(shù)=值#標(biāo)識(shí)表記標(biāo)幟�。
所謂協(xié)議��,是有很多的:
http——超文本傳輸協(xié)議資源
https——用安適套接字層傳送的超文本傳輸協(xié)議
ftp——文件傳輸協(xié)議
mailto——電子郵件地址
ldap——輕型目錄拜候協(xié)議搜索
file——本地電腦或網(wǎng)上分享的文件
news——Usenet新聞組
gopher——Gopher協(xié)議
telnet——Telnet協(xié)議
那么��,這個(gè)URL 有哪些層面可以被黑客改造,導(dǎo)致你去了一個(gè)意想不到的地方����?也許,我們可以反推一下���,不至于著了道�����。
作為一個(gè)連續(xù)三次挖掘了chrome 瀏覽器地址欄漏洞的老司機(jī)�����,徐少培對(duì)攻擊者可能偽造URL 的手段了如指掌:
1���、這些協(xié)議在瀏覽器處理的時(shí)候都有可能出現(xiàn)問題。
2��、多級(jí)域名時(shí)���,瀏覽器地址可視為很小����,可以把主機(jī)的覆蓋掉,而顯示前面?zhèn)窝b的多級(jí)域名主機(jī)�。
3、對(duì)于端口�,目前默認(rèn)的端口是空,或者是無符號(hào)16位�。如果超過65535,好比說是1萬的瀏覽器端口���,如果是ABCD端口會(huì)怎么處理呢��?
4���、Passname,就是后面的目錄,有可能會(huì)偽造成主機(jī)���。
5��、#號(hào)后����,瀏覽器格式在字符串時(shí)可能會(huì)出現(xiàn)問題����,User Name有可能會(huì)偽造成主機(jī)。
“URL中的任何一個(gè)部分��,都有可能成為觸發(fā)地址欄欺詐(URL Spoof)漏洞的攻擊向量�。”徐少培說�����。
好比����,上述URL,由一個(gè)四級(jí)域名構(gòu)成��,Passname的路徑偽造成了一個(gè)類域名的字符串�。
